Schrems II streng toegepast in Frankrijk. Urgentie Covid-19 geeft tijdelijk wat ruimte.
Dit artikel is relevant voor: alle organisaties die gebruikmaken van een verwerker die gevestigd is in de VS (Microsoft, Google, AWS, etc.), zelfs als de hosting door die verwerker in Europa plaatsvindt.
De Franse privacytoezichthouder CNIL heeft zich van zijn strenge kant laten zien. De CNIL vindt hosting van gezondheidsgegevens in de Health Data Hub door Microsoft (op hostingservers in Nederland) ontoelaatbaar. De Health Data Hub is een centraal platform van de Franse overheid voor medische onderzoeksdoeleinden. In de Health Data Hub zijn diagnoses en andere gegevens opgeslagen, afkomstig van ziekenhuizen, de nationale ziektekostenverzekering en apotheken. Naar aanleiding van de Schrems II-uitspraak hebben belangengroeperingen een verzoekschrift ingediend bij de Conseil d’Etat, de hoogste administratieve rechtbank in Frankrijk, om de verwerking van gezondheidsgegevens in de Health Data Hub te stoppen. De CNIL ondersteunt dat standpunt, maar de Conseil d’Etat zet dat standpunt in zijn uitspraak van 13 oktober 2020 opzij, althans tijdelijk, onder andere vanwege de huidige urgentie rond Covid-19.
Schrems II – in het kort
De Conseil d’Etat past in deze zaak de overwegingen toe van het Hof van Justitie van de Europese Unie in de Schrems II-uitspraak. De gevallen zijn niet helemaal vergelijkbaar. In het geval van de Health Data Hub gaat het om verwerking van persoonsgegevens binnen Europa. In de Schrems II-uitspraak gaat het om doorgifte van persoonsgegevens door Facebook naar de Verenigde Staten. In de Schrems II-uitspraak is het EU-VS Privacy Shield ongeldig verklaard. Doorgifte van persoonsgegevens naar de Verenigde Staten kan daardoor niet meer op basis van het Privacy Shield en zal voortaan op een andere basis moeten plaatsvinden, bijvoorbeeld op basis van Standard Contractual Clauses.
Bij de doorgifte van persoonsgegevens naar landen buiten de Europese Economische Ruimte op basis van Standard Contractual Clauses moeten de passende waarborgen die vereist zijn (in artikel 46, lid 1, en artikel 46, lid 2, onder c, AVG), ervoor zorgen dat een bescherming wordt geboden die gelijkwaardig is aan het niveau dat door de AVG in de EU wordt gegarandeerd. Daarbij gaat het niet alleen om de contractuele bepalingen (de Standard Contractual Clauses), maar ook om de relevante elementen van het rechtsstelsel van dat derde land (als bedoeld in artikel 45, lid 2, AVG). Het Privacy Shield is juist hierom ongeldig verklaard. De Amerikaanse inlichtingen- en veiligheidsdiensten hebben een ruime (meer dan noodzakelijke) toegang tot persoonsgegevens en betrokkenen kunnen hun rechten niet via de rechter afdwingen in de VS. Naast het ongeldig verklaarde Privacy Shield, vormen ook de Standard Contractual Clauses naar mijn verwachting geen goede basis meer voor doorgifte naar de VS. Doorgifte van persoonsgegevens naar de Verenigde Staten is dan nog slechts mogelijk bij wijze van uitzondering (in de gevallen genoemd in artikel 49 AVG; daarover hieronder meer).
De CNIL is streng: verwerking is onrechtmatig, want ‘niet iedere mogelijkheid van doorgifte naar de VS is uitgesloten’
Microsoft kan niet volledig uitsluiten dat zij een verzoek van de Amerikaanse veiligheids- en inlichtingenautoriteiten zal moeten inwilligen. Zelfs als de hosting door Microsoft in Europa plaatsvindt – zoals in dit geval in Nederland – zal Microsoft vanwege de CLOUD Act aan een dergelijk verzoek moeten voldoen. Ook is niet uitgesloten dat Microsoft onderhoud en beheer pleegt – en daarvoor bijvoorbeeld logging ontvangt van de Health Data Hub – in de Verenigde Staten. De doorgifte die in deze twee scenario’s het gevolg is, zal dan niet voldoen aan de uitleg van de AVG in de Schrems II-uitspraak en dus zou de hosting door Microsoft onrechtmatig zijn en herzien moeten worden.
Covid-19 weegt mee in het eindoordeel van de Conseil d’Etat
De Conseil d’Etat is genuanceerder dan de CNIL en merkt op dat er geen directe schending van de AVG is, maar slechts een risico van schending van de AVG. De Conseil d’Etat verwacht niet dat de veiligheids- en inlichtingendiensten van de Verenigde Staten veel belangstelling zullen hebben voor de gezondheidsgegevens. En bovendien zijn de gegevens gepseudonimiseerd.
Vervolgens is doorslaggevend dat een zwaarwegend algemeen belang wordt gediend. De verwerking van de gezondheidsgegevens is noodzakelijk om de noodsituatie op gezondheidsgebied te beheersen en onderzoek te doen naar SARS-CoV-2 (het Coronavirus). De opslag van de gezondheidsgegevens bij Microsoft is in de huidige omstandigheden een evenredige maatregel, mede doordat een passende alternatieve technische oplossing op korte termijn ontbreekt. Bij de lancering van de Health Data Hub was immers Microsoft de enige partij die voldeed aan het programma van eisen. Wel heeft de Franse overheid toegezegd verdere maatregelen te zullen nemen om elk risico uit te sluiten. Alsnog gaat de Franse overheid bekijken of een Franse of Europese partij de dienst kan leveren.
Wat betekent deze uitspraak voor mij?
De uitspraak toont aan dat de hoogste Franse bestuursrechter de Schrems II-uitspraak heel precies toepast. Dat is ook het advies van de Franse privacytoezichthouder CNIL. Slechts vanwege de uitzonderlijke situatie door Covid-19 staat de rechter tijdelijk toe dat enig risico wordt gelopen. De verwerking dient een zwaarwegend algemeen belang dat in de huidige urgente gezondheidssituatie een uitzondering rechtvaardigt. De rechter sorteert daarmee voor op de uitzondering als bedoeld in artikel 49, lid 1, onder d, AVG.
Eigenlijk wisten we het al. De Schrems II-uitspraak van 16 juli 2020 is verstrekkend. Het maakt doorgifte van persoonsgegevens naar de VS in essentie onmogelijk, tenzij sprake is van een uitzondering als bedoeld in artikel 49 AVG. Ook Standard Contractual Clauses bieden in het geval van doorgifte naar de VS nauwelijks een oplossing, tenzij er aanvullende maatregelen worden genomen (maar pseudonimisering bleek voor de Franse rechter niet afdoende). Wilt u niet wachten op een Privacy Shield 3.0 (voor zover dat te zijner tijd wel stand houdt), dan blijft voor u doorgifte naar de VS op basis van artikel 49 AVG over, kort gezegd:
- uitdrukkelijke toestemming van de betrokkene voor de doorgifte, of
de doorgifte naar de VS is noodzakelijk voor:
- uitvoering van een overeenkomst met de betrokkene,
- uitvoering of sluiting van een overeenkomst in het belang van de betrokkene,
- een zwaarwegend algemeen belang,
- een rechtsvordering,
- bescherming van vitale belangen van de betrokkene of een andere persoon, of
- raadpleging van publieke registers.
De lat ligt daarmee zeer hoog, want wanneer is een doorgifte naar de VS noodzakelijk? Dan zal op z’n minst aangetoond moeten worden dat het doeleinde van de verwerking niet op een andere wijze (zonder doorgifte naar de VS) is te realiseren, bijvoorbeeld door gebruikmaking van een vergelijkbare hostingdienst van een Europese partij.